Android trotz Paranoia ?

walli

Forum-Beiträge: 15

22.06.2010, 21:12:42 via Website

22.06.2010 21:12:42 via Website

Moin, moin, zusammen.

Grundsätzlich bewege ich mich im Internet nachdem Motto:

Die Tatsache, dass ich paranoid bin, bedeutet nicht, dass ich nicht verfolgt werde !!

Ich gebe im Internet, aber auch sonst, ungern persönliche Daten preis.

Nun habe ich hier lange im Forum gelesen und bei gewissen Vorbehalten gegenüber Google meist gelesen:
Dann kauf dir keinen Androiden ; meine Daten sind sowieso überall gespeichert; das ist alles Panikmache; etc

Mittlerweile denke ich, dass Google, sofern ich nur den Market nutze, nicht das grösste Problem ist.

Sehr viele Apps verlangen Rechte, die mir nicht plausibel erscheinen.

shazam sei hier als Beispiel genannt.

Zu meinen Fragen:

1. gibt es Listen, welche Apps, welche Infos nach Hause oder zu Werbepartner senden?

2. gibt es Apps, die dieses Verhalten unterbinden können ?

3. gibt es Sites, die sich dieser Problematik widmen ?

Der Neue dankt für Eure Antworten

Antworten

Gelöschter Account

Forum-Beiträge: 3.192

22.06.2010, 21:29:09 via Website

22.06.2010 21:29:09 via Website

Zu allen drei Fragen:
Leider nein. Also nicht wirklich. Man kann nur sehr schwerlich feststellen, wer was wann warum nach Hause telefoniert. Dann gibt es da z. B. noch AdMob, die Werbung machen ... da gab es schon so einigen Missbrauch...
Unterbinden ... wie eine Firewall gibt es eben noch nicht in diesem Sinne.
Das einzige, was man auslesen kann, sind die Berechtigungen.
Ein Spiel sollte z. B. nicht auf meine Kontakte zugreifen!

Fertigungsprodukt. - „Behandle die Menschen so, als wären sie, was sie sein sollten, und du hilfst ihnen zu werden, was sie sein können.“ - Leitfaden

Antworten

walli

Forum-Beiträge: 15

22.06.2010, 21:56:13 via Website

22.06.2010 21:56:13 via Website

Danke für Deine Antwort.

es gibt ja eine App "aSpotCat" die die Berechtigungen ausliest.
Androidpit listet diese ja auch auf.

Allerdings wundere ich mich, dass diese Berechtigungen anscheinend selten ein Thema bei den Kommentaren sind.
Auch kommt man scheinbar um manche zweifelhaften Berechtigungen nicht herum.
Warum muss z.B. der offensichtlich sehr beliebte Barcode Scanner auf Kontaktdaten zugreifen?
Stören sich die User daran nicht?

Antworten

Gelöschter Account

Forum-Beiträge: 3.192

22.06.2010, 22:13:24 via Website

22.06.2010 22:13:24 via Website

Beim Barcode-Scanner darf die App Barcodes per Mail an deine Kontakte verschicken. Daher kommt das...

Fertigungsprodukt. - „Behandle die Menschen so, als wären sie, was sie sein sollten, und du hilfst ihnen zu werden, was sie sein können.“ - Leitfaden

Antworten

Tobias E.

Forum-Beiträge: 180

22.06.2010, 22:52:07 via Website

22.06.2010 22:52:07 via Website

Mio Starkid

Dann gibt es da z. B. noch AdMob, die Werbung machen ... da gab es schon so einigen Missbrauch...

Hast Du konkrete Beispiele wo AdMob Missbrauch mit persönlichen Daten betrieben hat? Das AdMob SDK hat keinerlei Zugriff auf personenbezogene Daten, von daher wüsste ich nicht wie das gehen soll.

Antworten

walli

Forum-Beiträge: 15

22.06.2010, 22:55:13 via Website

22.06.2010 22:55:13 via Website

Wie findet man sowas heraus ?
Also ob die App die Berechtigung nur in meinem Sinne nutzt wie beim Barcode scanner, oder ob meine Kontaktdaten ausgelesen und abgerufen werden.

Antworten

Tobias E.

Forum-Beiträge: 180

22.06.2010, 23:52:52 via Website

22.06.2010 23:52:52 via Website

walli

Wie findet man sowas heraus ?
Also ob die App die Berechtigung nur in meinem Sinne nutzt wie beim Barcode scanner, oder ob meine Kontaktdaten ausgelesen und abgerufen werden.

Leider gar nicht (außer wenn Du mit Riesen-Aufwand die App dekompilierst und den Code prüfst). Das ist rein eine Frage wie weit Du dem Hersteller der App vertraust.

Was AdMob angeht so verwende ich das auch in meinen Apps. Das Modul verlangt die Berechtigung zum Internet-Zugriff und zum Abrufen des ungefähren Standortes. Die App sendet dann eine Anfrage an AdMob, eine Werbeanzeige zu schicken, die relevant ist für einen Nutzer der sich am ermittelten ungefähren Standort befindet. Dafür verlangen Apps die AdMob verwenden auf jeden Fall Internet Zugriff, und in der Regel den Zugriff auf den ungefähren Standort.

Um den Abruf der Werbeanzeigen mit Dir als Person in Verbindung bringen zu können oder gar nur ein anonymes Profil Deiner Standortdaten erstellen zu können, bräuchte man noch mindestens Zugriff auf die Phone ID. Den hat das AdMob Modul allerdings nicht.

Von daher bin ich sehr gespannt darauf die Missbrauchsbeispiele zu AdMob zu sehen. Gibt ja nichts was es nicht gibt.

Ganz ehrlich habe ich bisher aber auch sonst noch nie von einem Fall gehört, wo eine Android App bösartige persönliche Daten missbraucht, so in der Art daß meine Kontakte auf einmal alle Werbe-SMS oder ähnliches erhalten. Hat jemand schonmal so etwas selbst mit einer Android App erlebt?

Antworten

walli

Forum-Beiträge: 15

23.06.2010, 17:52:06 via Website

23.06.2010 17:52:06 via Website

Das bedeutet, wenn die App gratis ist und Werbung enthält, ist immer der Internet-Zugriff und der ungefähre Standort verlangt und ich muss mir im Normalfall keine grossen Gedanken machen.
Ansonsten bleibt nur die Plausibilitätsprüfung und im Zweifel die App nicht installieren.

Habe ich das richtig verstanden, dass bislang kein Missbrauch durch Berechtigungen bei Apps bekannt ist?

Antworten

Gelöschter Account

Forum-Beiträge: 616

23.06.2010, 20:06:01 via Website

23.06.2010 20:06:01 via Website

Tobias E.

..., bräuchte man noch mindestens Zugriff auf die Phone ID. Den hat das AdMob Modul allerdings nicht.

Apps die für 1.5 compiliert wurden, bekommen automatisch die Rechte "SD-Karten-Inhalt ändern/löschen" und "Telefonstatus lesen und identifizieren".

Wie heißen denn Deine Apps?

Antworten

Tobias E.

Forum-Beiträge: 180

24.06.2010, 00:43:23 via Website

24.06.2010 00:43:23 via Website

Hartmut Schmidt

Apps die für 1.5 compiliert wurden, bekommen automatisch die Rechte "SD-Karten-Inhalt ändern/löschen" und "Telefonstatus lesen und identifizieren".

Das war in den ersten Versionen noch nicht Teil des Berechtigungssystems. Da hat Google später nachgebessert.

Hartmut Schmidt

Wie heißen denn Deine Apps?

Nachdem ich hier bereits als "Tobias" unterwegs war als AndroidPit Entwickler-Profile eingeführt hat, die Ansage aber war dass das Entwicklerprofil den gleichen Namen haben soll wie der Market Publisher Name, habe ich ein seperates Entwicklerprofil angelegt. Du findest es hier: https://www.nextpit.de/de/android/developer/403193/AndroidCan

Antworten

Gelöschter Account

Forum-Beiträge: 5.136

24.06.2010, 00:54:20 via Website

24.06.2010 00:54:20 via Website

walli

Das bedeutet, wenn die App gratis ist und Werbung enthält, ist immer der Internet-Zugriff und der ungefähre Standort verlangt und ich muss mir im Normalfall keine grossen Gedanken machen.
Ansonsten bleibt nur die Plausibilitätsprüfung und im Zweifel die App nicht installieren.

Habe ich das richtig verstanden, dass bislang kein Missbrauch durch Berechtigungen bei Apps bekannt ist?

Nicht ganz, wenn man zumindest dieser einen Meldung der "First Tech Credit Uninon" Glauben schenken darf.

12.22.09 Rogue Android Smartphone app created
We recently learned that a fraudster developed a rogue Android Smartphone app. It creates a shell of mobile banking apps that tries to gain access to a consumer’s financial information.

Droid09 launched this phishing attack from the Android Marketplace and it’s since been removed. It’s called phishing because scammers go fishing for information about you or your financial account that may be used for identity theft.

Please note that this attack didn’t target First Tech accounts. Accessing your First Tech account from your phone’s web browser is completely secure.

If you did download the Droid09 app, please remove it from your phone and take it to your mobile provider to ensure it’s completely removed.

As a reminder, we don’t currently have an app for the Android phone.

— geändert am 24.06.2010, 00:54:53

lg Voss

Antworten

Lars K.

Forum-Beiträge: 274

24.06.2010, 07:14:16 via Website

24.06.2010 07:14:16 via Website

Hartmut Schmidt

Apps die für 1.5 compiliert wurden, bekommen automatisch die Rechte "SD-Karten-Inhalt ändern/löschen" und "Telefonstatus lesen und identifizieren".

Obwohl diese Aussage auch nicht immer zu halten ist. Denn man kann und sollte ja eine App die für Android 1.5 ist trotzdem gegen das jeweils aktuellste SDK kompilieren (also im Moment 2.2). Bei meiner Anwendung führte dies nicht zum Erzeugen ungewünschter Berechtigungen.

Bye
Lars

PatternControl... Schafft Balance zwischen Sicherheit und Komfort

Antworten

San Blarnoi

Forum-Beiträge: 2.545

24.06.2010, 09:52:44 via Website

24.06.2010 09:52:44 via Website

Nicht ganz, wenn man zumindest dieser einen Meldung der "First Tech Credit Uninon" Glauben schenken darf.

Ging es da nicht um eine App, die vorgab einen schnelleren/einfacheren/schöneren Zugriff auf mobile banking zu bieten?
Die wird dann nur "naheliegende" Berechtigungen gehabt haben -- also zwar Malware, aber "normale" Berechtigungen.

Da scheiterte das Sicherheitskonzept wohl eher vor als hinter dem Display ;)

Antworten

Gelöschter Account

Forum-Beiträge: 5.136

24.06.2010, 11:00:41 via Website

24.06.2010 11:00:41 via Website

Sehr wahrscheinlich sogar, saß wie immer das Problem hinter dem Schirm ...

Aber, ganz ehrlich, eine Banking App die nicht direkt, nachweislich von meiner Bank kommt ... weia .. das ist aber schon fast grob fahrlässig.

Die Gefahr dabei Phishing Attacken in die Arme zu laufen oder schlimmerem ist enorm hoch. Ich will die ehrlichen Entwickler von Online Banking Apps hier beileibe nicht über einen Kamm scheren mit den BadBoys da draußen, aber in Punkto Sicherheit würde ich bei Banking belangen doch lieber vom Smartphone abraten. Zu mindest zur Zeit ..

lg Voss

Antworten

San Blarnoi

Forum-Beiträge: 2.545

24.06.2010, 12:08:54 via Website

24.06.2010 12:08:54 via Website

Aber, ganz ehrlich, eine Banking App die nicht direkt, nachweislich von meiner Bank kommt ... weia .. das ist aber schon fast grob fahrlässig.

Ganz genau, ich neige da auch zu einem "selber Schuld" :vader:

Antworten

Gelöschter Account

Forum-Beiträge: 5.136

24.06.2010, 12:16:07 via Website

24.06.2010 12:16:07 via Website

and dev

Aber, ganz ehrlich, eine Banking App die nicht direkt, nachweislich von meiner Bank kommt ... weia .. das ist aber schon fast grob fahrlässig.

Ganz genau, ich neige da auch zu einem "selber Schuld" :vader:

Im Namen der Androiden ergeht folgendes Urteil:
Der Benutzer wird zu 1 Monat I-Phone Nutzung verurteilt ohne die Möglichkeit auf Begnadigung. Während der Vollstreckungsdauer ist die Nutzung eine Android-Phones ausgeschlossen. Das Urteil ist rechtskräftig und ohne Aufschub zu vollstrecken.

Die Kosten des Verfahrens trägt der jammernde.

Hiermit ist die Sitzung geschlossen. *Hammer klopft auf den Tisch* :cold:

Meine Entschuldigung an den Threaderöffner, ich konnte mich dieses leicht sarkastischem Posts nicht erwähren !!

— geändert am 24.06.2010, 12:17:21

lg Voss

Antworten

walli

Forum-Beiträge: 15

25.06.2010, 00:37:30 via Website

25.06.2010 00:37:30 via Website

Wenn ich mal zusammemfassen darf:
Eine App die für 1.5 compiliert ist und Werbung enthält, verlangt ohne Hintergedanken;
Internet-Zugriff und Abrufen des ungefähren Standortes sowie SD-Karten-Inhalt ändern/löschen" und "Telefonstatus lesen und identifizieren".
(Was man allerdings von der Apfelfraktion hört, ist auch nicht wirklich beruhigender)

P.S Paranoiker wie ich verweigern sich ohnehin dem online Banking

— geändert am 25.06.2010, 00:40:37

Antworten